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(57VAbstract: The invention relates to a method for operating a microcontroller in a control device in a motor vehicle with a central 
processor, at least one read-only memory region and at least one rewritable memory region, whereby at least one control programme 
is stored in the rewritable memory region, which is provided for processing by the central processor. According to the invention, a 
method for operation of a microcontroller in a control device, which better protects the checking of memories in the microcontroller 
against unpermitted access can be achieved, whereby a check programme is stored in a write-once memory region of the rewritable 
memory region and a service programme is stored in the read-only memory region. The check programme is called up at regular 
intervals by the control progranmie using the service programme and checks at least one part of the rewritable memory region. The 
service programme also restores a counter. The check programme, on a recognised manipulation of the checked memory region, or 
the counter, when the counter runs over, trip a RESET in the control device. 

[Fortsetzjung auf der ndchsten SeiteJ 
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VerdfTentUcht: Zur Erkldrung der Zweibuchstaben-Codes und der anderen Ab- 

ohne intemationalen Recherchenbericht undemeut zuver- kurzungen wird auf die Erkldrungen ("Guidance Notes on Co- 
dffentlichen nach Erhalt des Berichts des and Abbreviations ") am Anfang jeder reguldren Ausgabe der 

PCT -Gazette verwiesen. 



(57) Zusammenfassung: Die Erfindung betrifft ein Verfahren zur Steuerung eines Nfikrocontrollers in cinem Steuergeiat in einem 
Kraftfahrzeug mit einem Rechnerkem, wenigstens einem Nur-Lese-Speicherbercich und wenigstens einem wiedeibeschrclbbaren 
Speicherbereich, wobei in dem wiederbeschreibbaren Speicherbereich zumindest ein Steueiprogramm gespeichert ist, welches zur 
Verarbeitung dutch den Rechnerkem vorgesehen ist. Um ein Verfahren zur Steuerung eines Mikrocontrollers in einem Steuergerat zu 
schaffen, welches die Uberpriifung von Speichem des Mikrocontrollem besser gegen unerlaubte EingriflFe schiitzt, wird vorgeschla- 
gen, ein iiberpnifungsprogranmi in einem einmal beschreibbaren Speicherbereich des wiederbeschreibbaren Speicherbereiches und 
ein Serviceprogramms im Nur-Lese-Speicherbereich zu speichem. Das Uberprufungsprogramm wird mittels des Serviceprogramms 
durch das Steuerprogramm in regelmaBigen Abstanden aufgerufen und uberpiiift wenigstens einen Teil des wiederbeschreibbaren 
Speicherbereiches. Das Serviceprogramm setzt daruber hinaus einen Zahler zuriick. Das Oberpriif ungsprogramm bei erkannter Ma- 
nipulation des Uberpriiften Speicherbereiches oder der Zahler bei Uberlauf des Zahlers losen einen RESET des Steueigerates aus. 
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Verfahren zur sicheren Uberpriifung eines Speicherbereiches ei- 
nes Mikrocontrollers in einem Steuergerat und SteuergerSt mit 
einem geschutzten Mikrocontroller 

STAND DER TECHNIK 

Die Erfindung betrifft ein Verfahren zur Steuerung eines Mik- 
rocontrollers in einem Steuergerat in einem Kraf tf ahrzeug mit 
einem Rechnerkern, wenigstens einem Nur-Lese-Speicherbereich 
und wenigstens einem wiederbeschreibbaren Speicherbereich, wo- 
bei in dem wiederbeschreibbaren Speicherbereich zumindest ein 
Steuerprogramm gespeichert ist, welches zur Verarbeitxing durch 
den Rechnerkern vorgesehen ist. 

Weiterhin bezieht sich die Erfindimg noch auf ein derartiges 
Steuergerat fiir ein Kraf tf ahrzeug mit einem Mikrocontroller . 

Als Kraf tfahrzeuge werden hier Fahrzeuge mit einer Brennkraft- 
maschine, welche mittels SteuergrSten steuerbar ist, im wei- 
testen Sinn verstanden. Derartige Steuergerate werden in der 
Fahrzeugtechnik ftir vielfSltige Funktionen verwendet, wie bei- 
spielsweise als Motors teuergerat . Dabei wird zum Beispiel beim 
Chip-Tuning von Motors teuergerat en haufig der nicht-f luchtige, 
aber mehrfach beschreibbare Speicher {z.B. Flash) manipuliert. 
Die dort gespeicherten Daten werden so verandert, dass eine 
hohere Motorleist\ing erreicht wird. Aus dem Stand der Technik 
sind auch Verfahren zur Steuerung der Mikrocontroller bekannt, 
die Uberprufungsroutinen beim Start und/oder wahrend der Lauf- 
zeit des Steuergerateprogramms aktivieren. Dariiber hinaus wer- 
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den derartige Steuergerate auch zur Steuerung von Getrieben 
Oder ABS-Systemen eingesetzt. 



Aus der deutschen Of f enlegungsschrif t DE 197 53 730 ist ein 
Verfahren und eine Vorrichtung zum Steuern einer Brennkraf tma- 
schine bekannt. Die Vorrichtiing iimfasst wenigstens einen Mik- 
roprozessor, wenigstens einen programmierbaren Speicher nnd 
einen wieder beschreibbaren Speicher. In dem wiederbeschreib- 
baren Speicher sind Programme und/oder Daten abgelegt, die vom 
Mikroprozessor verarbeitet werden. Die Programme werden erst 
nach einer Prufung abgearbeitet . Nimmt der Inhalt eines pro- 
grammierbaren Speichers einen ersten Wert an, wird das Pro- 
gramm ohne weitere Prufxing abgearbeitet, anderenfalls erfolgt 
wenigstens eine weitere Priifung. Mit diesem Verfahren soil er- 
reicht werden, dass ein Datensatz,' der veranderte Daten 
und/oder Programme enthait, oder der nicht vom Steuergerate- 
hers teller freigegeben wurde, auf einem Seriensteuergerat 
lauffahig ist. Gleichzeitig soli der Kraftfahrzeughers teller 
die MSglichkeit haben, Steuergerate zu applizieren, dass 
heist, Datensatze in einzelnen Steuergeraten zu verandern, 
ohne dass er Kenntnis von den Prufungen hat. Problematisch ist 
hierbei der Schutz des Inhaltes des programmierbaren Spei- 
chers . 

In der DE 197 23 332 Al wird ein Verfahren zuai Schutz eines 
Mikrorechners gegen Manipulation seines Programms und ein der- 
art geschutzter Mikrorechner beschrieben. Der Mikrorechner 
weist einen Rechnerkem, einen nur Lesespeicher und einen wie- 
derbeschreibbaren Speicher auf. Im nur Lesespeicher ist ein 
Oberpriifiingsprogramm gespeichert, das mittels eines Schltissels 
aus dem Speicherinhalt des wiederbeschreibbaren Speichers ein 
Codewort bildet. Das Codewort wird dann mit einem Vergleichs- 
codewort verglichen, das ebenfalls im wiederbeschreibbaren 
Speicher abgelegt ist. In Abhangigkeit von diesem Vergleich" 
wird der Mikrorechner gesperrt oder freigegeben. 
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Bei den bekannten Verfahren ist auch bei Verwendimg eines ge- 
schutzten, internen Flashbereich nur ein Schutz moglich, wenn 
die Anwendung nur diesen \md keinen extemen Speicher beno- 
tigt. Da die Anwendungen jedoch meist einen extemen Speicher 
verwenden, wirkt der eingebaute Manipulationsschutz in diesen 
Anwendungen nicht - *bzw, ist zu umgehen. Weiterhin ist eine 
Manipulation der Uberpriifungsroutinen dann moglich, wenn 
Controller ohne internen, geschiitzten Speicher eingesetzt wer- 
den. Im einfachsten Fall wird der Aufruf dieser Routinen ver- 
hindert . 

Wenn dagegen diese tJberprtifungsroutinen in einem nicht ander- 
baren Bereich im Controller abgelegt werden (z.B. ROM), so be- 
deutet dies zum einen eine Kostensteigerung, zxim anderen eine 
geringere Flexibilitat in der Wahl der Algorithmen. Aufierdem 
ist dabei auch oft ein ROM in der entsprechenden Controller- 
technologie nicht realisierbar . Selbst wenn ein ROM verfiigbar 
ist, bleiben die Probleme, die grondsatzlich bei der Verwen- 
dung eines groSen ROM-Bereiches zu beachten sind. Eine Ande- 
rung des Programmcodes ist sehr teuer, da jeweils neue Masken 
erforderlich sind. Wenn Code geandert werden muss, dauert es 
mindestens 4 Monate, bis der neue Code im Projekt einsetzbar 
ist (Liiniendurchlauf zeit) . Bei einem kiindenspezif ischen Code 
benotigt entweder jeder Kxinde sein eigenes ROM, oder das ROM 
muss entsprechend vergrofiert werden. Beides fiihrt zu Mehrkos- 
ten, die nicht im Interesse des Kiinden und des Halbleiterher- 
stellers liegen. Auch hier ist ungelSst, wie die Ausfuhrung 
des Codes erzwungen werden kann. 

Die Problematik, die der vorliegenden Erfindung zugrunde 
liegt, besteht daher darin, ein Verfahren zur Uberprufung von 
Speichem eines Mikrocontr oilers in einem Steuergerat zu 
schaffen, welches besser gegen unerlaubte Eingriffe schutzt. 
Weiterhin besteht die Aufgabe darin, bei einem Mikrocontroller 
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in einem Steuergerat die xmerlaubte Manipulation von Speicher 
inhalten wirkimgsvoller zu verhindern. 

VORTEILE DER ERFINDUNG 

Das erfindungsgemaiSe Verfahren aomfasst die folgenden Schritte 
Speicherung eines Uberprufungsprogramms in einem einmal be- 
schreibbaren Speicherbereich des wiederbeschreibbaren Spei- 
cherbereiches, Speicherung eines Serviceprogramms im Nur- 
Lese-Speicherbereich, Aufruf des Seorviceprogramms durch das 
Steuerprogramm in regelmaSigen Abstanden, Aufruf des Uberpru- 
fungsprogramms durch das Serviceprogramm, Riicksetzen eines 
Zahlers durch das Serviceprogramm bei Aufruf durch das Steuer- 
programm, tJberprufen wenigstens eines Teiles des wiederbe- 
schreibbaren Speicherbereiches durch das Uberprufungsprogramm, 
AuslSsen eines RESET durch das Oberprufungsprogramm bei Mani- 
pulation des uberpriif ten Speicherbereiches oder durch den ZSh- 
ler bei IJberlauf des Zahlers. 

Das erfindungsgemafie Verfahren zeichnet sich dadurch aus, dass 
die Codesequenz zur Uberpriif ung des Speichers (das Uberpru- 
fungsprogramm) im nur einmal beschreibbaren Speicher nicht ma- 
nipuliert werden kann. Ein solcher nur einmal beschreibbarer 
Speicherbereich kann zum Bei spiel im vorhandenen, internen 
wiederbeschreibbaren Speicher (Flash) realisiert werden. Eini- 
ge Mikrocontroller besitzen beispielsweise einen Passwort- 
schutz auf Telle des internen Flash. Zxim anderen wird beim 
Verfahren gemaS der Erfindiing auch die Ausfuhrung dieser Code- 
sequenz wirkungsvoll sichergestellt . Im jeweiligen Steuerpro- 
.gramm des Steuergerates muss in regelmaJSigen Abstanden, die 
einstellbar sein konnen, ein Aufruf des Uberprufungsprogramms 
enthalten sein. Das tfcerpriifungsprogramm wird mittels eines 
Serviceprogramms aufgerufen, welches im Nur-Lese-Speicher ge- 
speichert ist. Dieses Serviceprogramm ist somit vor unerlaub- 
ten Eingriffen und Manipulationen geschutzt. 
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Dieses Serviceprograinm muss regelmaSig aufgerufen werden, da 
anderenfalls ein ZShler, der mittels einer Taktversorgung un- 
beeinf lussbar, kontinuierlich lauft, einen Uberlauf signali- 
siert. Der Zahler kann nicht angehalten warden, und nur durch 
den Aufruf des Serviceprograimms zuruckgesetzt warden. Erreicht 
der Zahler vor dem Aufruf des Serviceprogramms einen Uberlauf, 
erzeugt der Zahler einen RESET des Mikrocontrollers . 

Der Zahler kann als separater Zahlerbaustein mit einer eigenen 
Taktversorgiing realisiert werden, der in einem geschutzten Be- 
reich innerhalb des Mikrocontrollers oder im Steuergerat ange- 
ordnet ist. Ebenso ist bei geeigneten Mikrocontrollem eine 
programmtechnische Iinplementieirung denkbar. Der Uberlauf des 
Zahlers kann beispielsweise durch Erreichen des ZShlerendes 
ausgelost werden. Der Zeitpunkt des Erreichens des Uberlauf es 
bestiinmt den zeitlichen Abstand, nach dem das Serviceprogramm 
wieder aufgerufen werden muss, ohne dass der Zahler ein RESET 

. ausl5st. Zur Einstellung eines Zeitpunktes wird ein Zahler mit 
einem entsprechenden Zahlerende gewahlt oder ein Zahler stand 
eingestellt, der bei Erreichen ebenfalls ein Uberlauf signali- 
siert. Bei Aufruf des Serviceprogramms durch das Steuerpro- 
gramm wird zum einen das Uberpruf ungsprogramm aufgerufen und 

. zum anderen der Zahler zurtickgesetzt . 

Das RESET kann beispielsweise darin bestehen, dass das Steuer- 
gerat abgeschaltet wird oder mit einem Datensatz betrieben 
wird, der noch eine eingeschrankte Funktion erlaubt. Dabei 
kann auch gleichzeitig noch ein entsprechendes Signal an ande- 
re Steuergerate abgegeben werden. Insbesondere ist es sinn- 
voll, ein Wamsignal auszugeben, welches eine Aufforderung zur 
Reparatur des Fahrzeuges in einer Werkstatt auslost. 

Des weiteren wird die Aufgabe der Erfindung noch durch ein 
Steuergerat fiir ein Kraf tf ahrzeug mit einem Mikrocontroller 
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gelost, bei dem ein einmal beschreibbarer Speicherbereich des 
wiederbeschreibbaren Speicherbereiches zur Speicherung eines 
tiberpriifungsprogramms vorgesehen ist, der Nur-Lese- 
Speicherbereich zur Speicherung eines Serviceprograirans vorge- 
sehen ist, der Rechnerkern in regelmalSigen Abstanden das Ser- 
viceprograinm nach Aufruf durch das Steuerprogramm verarbeitet, 
der Rechnerkern das Uberprufiingsprogramm nach Aufruf durch das 
Searviceprograiran verarbeitet, ein Zahler vorgesehen ist, der 
durch das Serviceprograimti bei Aufruf durch das Steuerprogramm 
riicksetzbar ist, wenigstens ein Teil des wiederbeschreibbaren 
Speicherbereiches durch das tJberprufungsprogramm liberpriifbar 
ist, ein RESET durch das Uberprufungsprograram bei Manipulation 
des iiberpruften Speicherbereiches oder bei Uberlauf des Zah- 
lers auslosbar ist. 

Besonders bevorzugte Ausgestaltungen der Erf indung .sind auch 
noch in den abhangigen Anspriichen angegeben. 

ZEICHNUNGEN 

Im folgenden wird ein Ausf lihrungsbeispiel der Erfindung anhand 
von zwei Zeichnungen naher erlautert. Dabei zeigen 

Pigur 1 : ein Blockdiagramm eines erf indungsgemafeen Mikrocont- 
rollers fiir ein Steuergerat iind 

Figur 2 : ein Ablauf diagramm des erf indungsgemafien Verf ahrens . 

BESCHREIBUN6 DER AUSFUHRUNGSBEISPIELE 

In der Figur 1 ist ein Mikrocontroller 1 fiir ein Steuergerat 
gemafi der Erfindung dargestellt. Er \imfasst einen Rechnerkern 
2, einen Nur-Lese-Speicher 3, einen nur einmal beschreibbaren 
Speicher 4 und einen wiederbeschreibbaren Speicher 5. Das 
Steuergerat kann beispielsweise ein Motorsteuergerat zur Steu- 
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ening von Drosselklappe, einzuspritzender Kraf tstof fmenge oder 
anderer Grofien sein. Aber auch ein SteuergerSt zur Steuening 
eines Getriebes, ABS-Systems oder anderer Systeme im Kraft- 
fahrzeug ist ohne weiteres denkbar. Der Rechnerkern 1 ist ein 
5 ublicher Mikroprozessor zur Verarbeitung der gespeicherten 

Programme und Daten. Der Nur-Lese-Speicher oder ROM (Read Only 
Memory) 3 enthalt ein fest gespeichertes Programm, welches nur 
durch Austausch des ROM 3 geandert werden kann. In diesem 
Speicher ist in der Kegel ein Minimalprogramm abgelegt, wel- 
10 ches den Rechnerkern 1 in die Lage versetzt, Programme und Da- 
ten aus den weiteren Speichem zu verarbeiten. 

Der wiederbeschreibbare Speicher 5 ist meist als EPROM oder 
. Flash-EPROM ausgefiihrt oind enthalt veranderbare Programme und 

15 Daten des Steuergerates . Der nur einmal beschreibbare Speicher 
4 ist ein Speicherbereich des wiederbeschreibbaren Speichers 5 
(Flash), der durch ein Passwort geschiitzt ist. In diesem Spei- 
cherbereich 4 ist eine Codesequenz gespeichert, welche die 
Aufgabe hat, die Code- und Datenbereiche des Mikrocontrollers 

20 1 zu iiberprufen. Dieses Uberpriif ungsprograrran ergreift bei er- 
kannter Manipulation eine GegenmaKnahme , die meist im Auslosen 
eines RESET besteht . Dabei kann das AusmaS des RESET an die 
jeweils gewiinschte GegenmaSnahme angepasst werden. Das Steuer- 
gerat kann beispielsweise koitrplett abgeschaltet werden, was 

25 bei einem Motors teuergerSt zu einem sofortigen Stillstand des 
Fahrzeuges fiihrt. Oder das Steuergerat kann mit einer Minimal- 
konf iguration versorgt werden, so dass das Steuergerat fvmk- 
tionsbereit bleibt, jedoch zu einer vollstandigen FunktionsfS- 
higkeit eine Reparatur in einer Werkstatt erforderlich ist. 



Die verschiedenen Speicherbereiche sind in der Figur 1 ge- 
trennt gezeichnet, wodurch jedoch nur ihre unterschiedliche 
Funktion gekennzeichnet werden soil. Es ist unter Wahrung der 
unterschiedlichen Funktionalitat moglich, die Speicherbereiche 
35 durch getrennte Bausteine oder in gemeinsamen Bausteinen zu 
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realisieren. So kann insbesondere der Flash-Speicher 5 sowohl 
innerhalb des Mikrocontrollerbausteins realisiert sein, als 
auch als externer Speicherbaustein. 

In der Figur 2 ist der Ablauf des Verfahrens gemaS der Erfin- 
dung schematisch dargestellt. Die Bereiche A, B, C und D kenn- 
zeichnen die funktionell unterschiedlichen Speicherbereiche, 
in denen die jeweiligen Programme und Da ten abgelegt sind. Im 
dargestellten Ausfuhzningsbei spiel beschreibt A einen Hardware- 
bereich im Mikrocontroller, B einen ROM-Bereich im Mikrocont- 
roller iind C einen Flash-Bereich im Mikrocontroller , wShrend D 
einen extemen Flash- Speicherbereich darstellt. 

Im externen Flash D ist als Anwendungscode ein Steuerprogramm 
fur das Steuergerat gespeichert. Das Prograram enthalt im Code 
einen ,CALL' -Bef ehl, mit dem ein Searviceprogramm aufgerufen 
wird, welches im ROM- Speicherbereich B des Mikrocontrollers 
abgelegt ist. Bei einem entsprechenden Entr^-Code wird ein 
, SERVICE' im Seirviceprogramm ausgelost. Dieses Serviceprogramm 
lost zwei Dinge aus, zxrni einen wird ein Zahler , COUNTER' zu- 
ruckgesetzt, der als Zahlerbaustein im Mikrocontroller A rea- 
lisiert ist. Der Zahlerbaustein ist mit einer Taktleitung ver- 
bxinden, so dass er unabhangig kontinuierlich lauft. Bei Errei- 
chen eines maximalen Zahlerstandes wird ein Uberlauf signali- 
siert, Zum anderen wird gleichzeitig ein Sprung ,JUMP' in ein 
tJberprufungsprograinm ausgelost. Dieses Uberpriif ungsprogramm 
ist als Codesequenz im nur einmal beschreibbaren Speicherbe- 
reich im intemen Flash gespeichert. Der interne Flash des 
Mikrocontrollers besitzt dazu einen Bereich, welcher durch ein 
Passwort geschutzt und damit nur einmal beschreibbar ist. 

Das tlberprtifxingsprogramm uberpriif t mindestens einen Teil des 
vom Mikrocontroller verwendeten Speichers mittels bekannter 
Prufmethoden, wie beispielsweise Checksummenbild"ung . Wenn an- 
hand der Uberprufung eine Manipulation an den gespeicherten 
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Daten xind / oder Programmen festgestellt wird, wird ein RESET 
ausgelost. Wenn keine unerlaubte Veranderting festgestellt 
wird, wird mittels eines , RETURN' -Be fehls wieder z\im Steuer- 
prograitim zuruckgekehrt . 

5 

Wenn der Zahler einen Uberlauf signalisiert , dass heiSt eine 
definierte Zeit abgelaufen ist, wird ebenfalls ein RESET aus- 
gelost. Dieses RESET kann wahlweise bedeuten, dass das Steuer- 
gerat komplett abgeschaltet wird oder das Steuergerat iinter 

10 Verwendung von vorher definierten Parametem betrieben wird. 
Dabei handelt es sich um eine Minimalkonf iguration, die eine 
Funktionalitat des Steuergerates noch gewahrleistet , aber eine 
Reparatur in einer Werkstatt umgehend erforderlich macht. Der 
RESET bleibt so lange aktiv, bis das Gerat aus- und wieder 

15 eingeschaltet wird (sogenannter Power-On RESET) . 

Da der Zahler unbeeinf lusst kontinuierlich lauft, kann das Er- 
reichen des tJberlaufes und das damit zwingend verbundene RESET 
des Steuergerates nur verhindert werden, wenn der Zahler re- 

20 gelmafiig zuriickgesetzt wird. Da dies nur vom Serviceprograinm 
im ebenfalls nicht manipulierbaren ROM-Bereich B ausgelost 
werden kann, muss wiederum das Serviceprograinm regelmaSig vom 
Steuerprogramm aufgerufen werden. Daher kann das Steuerpro- 
gramm, welches den ,CALiL' -Bef ehl enthalten muss, im relativ 

25 ungeschutzten Flash-Bereich D gespeichert sein. Derm auch 

durch Manipulationen kann folglich mit diesem Verfahren eine 
tiberpriifung des Speichers des Mikrocontrollers nicht verhin- 
dert werden. Nur bei nicht manipulierten Speichem des Mikro- 
controllers ist eine dauerhafte Funktionalitat des SteuergerS- 

30 tes gewahrleistet. 



Das erf indiingsgemafie Verfahren bietet gegeniiber bekannten Ver- 
fahren einige Vorteile. So entstehen nur sehr geringe oder 
keine Mehrkosten fur den Controller-Chip, da nur ein minimaler 
35 Mehraufwand notwendig ist. Weiterhin kann das Uberpriif ungspro- 
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grainm individuell an Anf orderungen oder Bedurfnisse angepasst 
werden, da diese Codeseqiienz nicht in der ROM-Maske enthalten 
ist. Somit kann es auch kxindenspezif isch gehalten werden. Dar- 
liber hinaus kann der Control lerhers teller diese Funktionalitat 
5 auch anderen Kunden anbieten. 



Es kann fiir Systeme ohne Controller-internes Flash das gleiche 
Verfahren angewendet werden. Dieses Verfahren behebt somit den 
Nachteil des geringeren Schutzes fiir Systeme mit internem und 
10 extemem Flash und ist in Kombination mit einer Paarung von 

Bauelementen ein sehr sicheres Verfahren. Obwohl der wiederbe- 
schreibbare- Speicherbereich beim obigen Ausfiihrungsbei spiel 
innerhalb des Mikrocontrollers liegt, kann er selbstverstand- 
lich auch auJSerhalb liegen. 



15 
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BEZUGSZEICHENIilSTE : 



1 


Mikrocontroller 


2 


Rechnerkern 


3 


Nur-Lese-Speicherbereich 


4 


beschreibbarer Speicherbereich 


5 


wiederbeschreibbarer Speicherbereich 



10 
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PATENTANS PRUCHE 

5 

1- Verfahren zur Steueriing eines Mikrocontrollers (1) in einem 
Steuergerat in einem Kraf tf ahrzeug mit einem Rechnerkern (2) , 
wenigstens einem Nur-Lese-Speicherbereich (3) imd wenigstens 
einem wiederbeschreibbaren Speicherbereich (5) , wobei in dem 
10 wiederbeschreibbaren Speicherbereich (5) zumindest ein Steuer- 
programm gespeichert ist, welches zur Verarbeitxing durch den 
Rechnerkern (2) vorgesehen ist, iimfassend mindestens die 
Schritte, 

- Speicherung eines Uberprufiingsprogramms in einem einmal be- 
15 schreibbaren Speicherbereich (4) des wiederbeschreibbaren 

Speicherbereiches (5) , 

- Speicherung eines Serviceprograirans im Nur-Lese- 
Speicherbereich ( 3 ) , 

- Aufruf des Serviceprogramms durch das Steuerprogramm in re- 
20 gelmaSigen Abstanden, 

- Aufruf des Uberprlifungsprogramms durch das Serviceprogramm, 

- Rucks etzen eines Zahlers durch das Serviceprogramm bei Auf- 
ruf durch das Steuerprogramm, 

- Uberpriifen wenigstens eines Teiles des wiederbeschreibbaren 
25 Speicherbereiches durch das Uberpriifungsprogramm, 

- Auslosen eines RESET durch das Uberpriifirngsprogramm bei Ma- 
nipulation des uberpruften Speicherbereiches oder durch den 
Zahler bei tJberlauf des Zahlers - 

30 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass das 
Steuerprogramm in einem intemen Speicherbereich des Mikro- 
controllers (1) gespeichert wird. 
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3. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass das 
Steuerprogramm in einem externen Speicherbereich aufierhalb des 
Mikrocontrollers (1) gespeichert wird. 

4. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass das 
Uberprufungsprogramm in einem internen Speicherbereich des 
Mikrocontrollers (1) gespeichert wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet/ dass das 
Uberprufungsprogramm in einem internen Speicherbereich des 
Mikrocontrollers (1) gespeichert wird, welcher durch ein Pass- 
wort geschtitzt ist. 

6. Steuergerat fiir ein Kraf tf ahrzeug mit einem Mikrocontroller 
(1) mit einem Rechnerkem (2), wenigstens einem Nur-Lese- 
Speicherbereich (3) und wenigstens einem wiederbeschreibbaren 
Speicherbereich (5), wobei in dem wiederbeschreibbaren Spei- 
cherbereich (5) ziunindest ein Steuerprogramm gespeichert ist, 
welches zur Verarbeitung durch den Rechnerkeam (2) vorgesehen 
ist, wobei 

- ein einmal beschreibbarer Speicherbereich (4) des wiederbe- 
schreibbaren Speicherbereiches (5) zur Speicherung eines Uber- 
prufungsprogramms vorgesehen ist, 

- der Nur-Lese-Speicherbereich (3) zur Speicherung eines Ser- 
viceprogramms vorgesehen ist, 

- der Rechnerkem (2) das Serviceprogramm nach Aufruf durch 
das Steuerprogramm in regelmafiigen Abstanden verarbeitet, 

- der Rechnerkem (2) das Uberprufungsprogramm nach Aufruf 
durch das Serviceprogramm verarbeitet, 

- ein zahler vorgesehen ist, der durch das Serviceprogramm bei 
Aufruf durch das Steuerprogramm riicksetzbar ist, 

- wenigstens ein Teil des wiederbeschreibbaren Speicherberei- 
ches (5) durch das Uberprufungsprogramm iiberprtifbar ist. 
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- ein RESET durch das Uberpriif ungsprograrmn bei Manipulation 
des uberpruften Speicherbereiches oder bei Uberlauf des Zah- 
lers auslosbar ist. 

7. Steuergerat nach Anspruch 6, dadurch gekennzeichnet , dass 
der einmal beschreibbare Speicherbereich (4) innerhalb des 
Mikrocontrollers (1) angeordnet ist. 

8. Steuergerat nach Anspruch 6, dadurch gekennzeichnet, dass 
der wiederbeschreibbare Speicherbereich (5) als Flash- Speicher 
ausgebildet ist. 
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FIGUR 1 
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Figur 2 



